O golpista o desgastou em uma série de ligações durante quase cinco horas, de acordo com mensagens de texto e outros registros.
Finalmente, pouco depois das 19h, Welles ligou para sua assistente de trabalho e disse que estava na linha com a Microsoft o dia todo.
Ela imediatamente sentiu que algo estava errado.
Eles rapidamente ligaram para o golpista em uma ligação a três. Mas eles não tinham ideia de que Alex já havia feito uma transferência bancária de US$ 85 mil (US$ 146 mil) da conta de Welles no Citibank.
Parece que o Citi também não percebeu imediatamente – mesmo depois que Welles e seu assistente contataram o banco para alertá-lo sobre o golpista, apenas três horas depois que o dinheiro saiu da conta de Welles.
O cibercrime tornou-se uma operação international e industrializada que captura milhares de milhões de dólares dos americanos todos os anos.
Os vigaristas criam esquemas sofisticados explorando tecnologia básica – plantando anúncios maliciosos comprados em motores de busca ou empresas de redes sociais, comprando linhas telefónicas e enviando mensagens de texto enganosas de fornecedores de VoIP e muito mais.
Depois fazem o seu melhor para deslizar pelo sistema bancário sem serem detectados com os seus ganhos ilícitos. Se eles puderem movimentar dinheiro da conta e dos dispositivos do próprio cliente, é muito menos provável que soem alarmes.
As aquisições de contas – incluindo aquelas semelhantes à de Welles – estão a aumentar, tendo triplicado nos últimos cinco anos, de acordo com uma análise de dados do Tesouro realizada por David Maimon, professor de justiça felony e diretor de um grupo de investigação de segurança cibernética na Georgia State College.
Em maio, foram apresentadas 16.556 denúncias à Rede de Execução de Crimes Financeiros, um braço do Tesouro conhecido como FinCen, contra 5.145 no início de 2020.
“Do lado do banco, quase tudo parece legítimo” porque os sinais vêm dos dispositivos eletrônicos do cliente, disse Maimon, que também é chefe de insights de fraude na SentiLink, uma empresa de prevenção de fraude.
Os americanos com mais de 60 anos perderam cerca de 982 milhões de dólares no ano passado apenas devido a fraudes de suporte técnico, uma das fraudes mais lucrativas, de acordo com o Centro de Reclamações de Crimes na Web do FBI.
Esse número representa um aumento de 66% em relação a 2023, mas ainda é apenas uma fração dos estimados 16,6 mil milhões de dólares que os cibercriminosos arrecadaram em 2024, um aumento de 33% em relação ao ano anterior, e é amplamente visto como uma sub-representação, uma vez que muitas fraudes não são denunciadas.
Muitos criminosos movimentam o dinheiro roubado usando criptografia ou transferências eletrônicas, um método que oferece proteções ao consumidor mais fracas do que outras transferências eletrônicas feitas por meio de plataformas bancárias on-line.
Esta questão está agora no centro de uma acção judicial – movida pela Procuradora-Geral de Nova Iorque, Letitia James, contra o Citibank – que defende que deveriam ser aplicadas regras mais rigorosas.
Quando Welles e seu assistente ligaram para o Citi por volta das 20h, depois de desligarem a conversa com o golpista, o banco lhe disse que congelaria suas contas. Mas o banco não sinalizou, nem mesmo mencionou, que US$ 85 mil haviam sido transferidos de sua conta poucas horas antes, às 16h45.
Welles disse que verificou se havia saques suspeitos, anotando seu saldo de cerca de US$ 20 mil – mas esqueceu que transferiu uma grande quantia alguns dias antes para pagar uma conta de imposto.
Como cliente do banco há 50 anos, Welles disse estar confiante de que o banco retomará qualquer atividade incomum. Mas ele ainda teve problemas para dormir naquela noite.
Na manhã seguinte, ele recebeu uma ligação do que parecia ser o banco privado do Citibank em seu identificador de chamadas. “Você fez uma transferência de US$ 85 mil?” perguntou um homem que se autodenominava Michael Wink. Ele garantiu a Welles que não precisava ligar para o banco porque eles já estavam cuidando do caso.
Mas foram os hackers ligando para ele.
Welles e seu assistente ligaram para o verdadeiro Citibank, que confirmou que US$ 85 mil haviam de fato saído de sua conta na tarde anterior.
O banco então iniciou um recall na transferência, mas já period tarde demais – o dinheiro havia desembarcado no Wells Fargo e já havia seguido para o próximo destino.
Se o Citi tivesse disparado o alarme na noite anterior, quando Welles telefonou pela primeira vez, seria mais provável que ele recuperasse o seu dinheiro? O Citi se recusou a comentar os detalhes do seu caso.
O banco recusou-se a reembolsá-lo, notícia que chegou por carta nove dias após o incidente.
“Com base nas informações fornecidas e nos resultados de nossa pesquisa, a transferência foi feita usando suas credenciais on-line do Citibank e iniciada usando o ID do dispositivo registrado”, afirmou.
“Como resultado, não podemos honrar sua reivindicação.”
As transferências eletrônicas normalmente são regidas por uma parte do Código Comercial Uniforme, projetado para transações comerciais, que diz que o reembolso não é necessário se “um procedimento de segurança comercialmente razoável acordado estiver em vigor” e o banco provar que aceitou a ordem de transferência de boa fé.
A ação authorized de James afirma que são necessárias maiores proteções para os consumidores: ela argumenta que o Regulamento E, as regras que fazem parte da Lei de Transferência Eletrônica de Fundos, conhecida como EFTA, deve ser aplicada quando as transferências bancárias são disponibilizadas on-line e por meio de aplicativos bancários móveis.
Isso exige que os bancos reembolsem as vítimas, tal como fazem com outras transferências electrónicas ou fraudes com cartões de débito, quando o seu dinheiro é perdido ou roubado através de pagamentos electrónicos não autorizados – a responsabilidade é geralmente limitada a 500 dólares se o banco for notificado no prazo de 60 dias.
Carla Sanchez-Adams, advogada sênior com foco em sistemas bancários e de pagamento do Centro Nacional de Direito do Consumidor, concordou com a posição do processo e disse que as transferências iniciadas da mesma forma, eletronicamente, deveriam vir com proteções semelhantes.
Do ponto de vista do consumidor, acrescentou, “é tudo igual”.
Os bancos argumentam que a lei está estabelecida e que as transferências bancárias entre bancos estão excluídas da EFTA. Mas os defensores dos consumidores salientam que quando a EFTA foi criada em 1978, as transferências bancárias raramente eram utilizadas pelos consumidores – e certamente não através de serviços bancários on-line, que não existiam.
Em Janeiro, um juiz do Tribunal Distrital dos EUA negou o pedido do Citi para rejeitar o processo de Nova Iorque, decisão da qual o Citi apelou em Setembro. Uma coligação de outros bancos e cooperativas de crédito alinhou-se atrás do Citi, apresentando um amicus transient apoiando o seu apelo ao Segundo Circuito.
Algumas instituições financeiras já ameaçam que uma “mudança sísmica no tratamento regulamentar” poderia levá-las a eliminar completamente as transferências para os consumidores.
Welles ainda está lutando para entender exatamente como o fraudador conseguiu o esquema.
Seu banqueiro privado respondeu algumas de suas perguntas relacionadas à segurança em um e-mail, que dizia que a “verificação de débito/pin” foi usada para adicionar o destinatário da transferência, e uma senha de uso único foi enviada por mensagem de texto para confirmar a transferência – ambas, ao que parece, os golpistas tiveram acesso.
Welles soube mais tarde por meio de um relatório policial que o dinheiro foi transferido para uma conta registrada sob o nome de Adedela Sodiq no Wells Fargo.
Um porta-voz do Wells Fargo se recusou a dizer se a conta foi encerrada ou investigada.
Num comunicado, o Citi disse que levava a sério a protecção do cliente e que tinha controlos e processos robustos em vigor. O banco disse que também ofereceu alertas personalizáveis que os clientes poderiam receber quando as transações excedessem o valor selecionado.
Não há como impedir a realização de transações acima de um determinado valor.
Quando Welles pediu aos representantes de seus bancos privados que ligassem para seu consultor antes de fazer transferências de mais de US$ 10.000, eles lhe disseram que o próprio sistema determina a autenticação necessária por transação e “não seria capaz de determinar que um não-proprietário da conta fosse chamado para transações acima de um determinado valor”, de acordo com sua correspondência por e-mail no mês passado.
Os golpistas continuaram a atormentar Welles semanas depois.
Ele recebeu um telefonema de alguém que se autodenominava Mark Wooden, que afirmava ser um investigador sênior do Citi – e prometeu que receberia seu dinheiro de volta em mais ou menos uma semana.
Welles enviou um e-mail aos seus banqueiros privados sobre o incidente para confirmar que eram realmente os fraudadores, o que eles fizeram.
“Felizmente, embora um pouco pior, ainda estou bem para sobreviver aos poucos anos que me restam para viver confortavelmente”, disse ele no e-mail de 24 de setembro, mas não psicologicamente. “Sonhos de ansiedade”, acrescentou.
Este artigo apareceu originalmente em O jornal New York Times.
Escrito por: Tara Siegel Bernard
Fotografia por: Victor J. Blue
©2025 THE NEW YORK TIMES
